Toute l'actualité des noms de domaine et nouveaux gTLDs

Archives de mots clés: faille

L’AFNIC évangélise sur le DNSSEC

L’organisation en charge de l’enregistrement des .fr va initier le déploiement de DNSSEC. Ce protocole de sécurité devrait progressivement s’intégrer auprès des hébergeurs, des FAI, etc.

L’idée n’est pas récente, la sécurisation des systèmes des noms de domaine a commencé à poindre son nez en 1995 lors de travaux au sein de l’IETF. A cette époque, le DNS était émis par un « serveur faisant autorité » comme par exemple ceux de l’AFNIC pour être reconnu par les serveurs résolveurs (ceux des FAI en général). L’objectif de ce système est d’authentifier le bon service, comme amazon.fr ou lemondeinformatique.fr. Les notions de sécurisations sont apparues avec la découverte par un chercheur, Dan Kaminsky, en 2008 d’une faille sur le DNS. Il a en effet trouvé une méthode, l’empoisonnement de cache, pour dériver le flux d’informations entre les deux serveurs cités précédemment et récupérer ainsi des données critiques.

Fort de ce constat, la mise en oeuvre du protocole DNSSEC (Domain Name System Security Extensions) est devenue un élément essentiel de la sécurisation du système. Ces extensions reposent sur des mécanismes de signature cryptographique asymétrique pour authentifier les enregistrements. Mathieu Weil, directeur général de l’AFNIC concède que « ce protocole entraîne des investissements dans les boîtiers cryptographiques et augmente la taille des messages, ainsi que du nombre d’échanges pour vérifier les signatures ». Concrètement, les organisations en charge des noms de domaine sont toutes progressivement en phase de signature de leur extension de sécurité. Pour l’AFNIC, le.fr a été signé le 14 septembre. L’organisme va donc assister les différents acteurs des noms de domaine (bureaux d’enregistrement, FAI, hébergeur, etc.) pour déployer DNSSEC. Des formations, ainsi que des dossiers thématiques sur le sujet et un logiciel gratuit ZoneCheck, qui prend en compte les DNSSEC vont être mis à disposition de cette communauté.

En ce qui concerne le prix de cette sécurisation, Mathieu Weil se veut rassurant « la sécurité a un coût, mais l’expérience suédoise pionnière en la matière montre que les hébergeurs ou les bureaux d’enregistrements intégreront cette option sans surcoût. Pour autant, comme dans d’autres activités informatiques, il faut s’attendre à un spectre tarifaire assez large ». L’AFNIC entend bien prendre son bâton de pèlerin pour professer les vertus du DNSSEC, même si son dirigeant s’attend à ce que cela soit progressif.

Source: LMI.fr

XMCO : Des pirates utilisent une faille dans le registrar DNS .ma pour nuire à Google

Des pirates ont réussi à avoir accès à la base de données du registrar de nom de domaine « .ma ». Un registrar permet de gérer la réservation de noms de domaine Internet associant une adresse IP à un nom de domaine.

L’origine de l’intrusion provient d’une faille de type injection SQL au niveau du site web du registar marocain. Les pirates ont alors modifié la base de données de manière à rediriger le site google.co.ma vers un site de leur choix [1].

Ce n’est pas la première fois que ce type d’attaque a lieu [2]. Les pirates s’attaquent désormais aux registrars DNS afin de prendre le contrôle du nom de domaine. Des banques comme HSBC ont déjà été victime de ce type d’attaque, les pirates avaient mis en place un faux site permettant de récupérer des identifiants bancaires.

A l’heure actuelle, les correspondances « adresse IP / nom de domaine » ont été rectifiées. La faille de sécurité semble être corrigée.

source GlobalSecurityMag.fr